报告编号：B6-2020-111601

　　报告来源：360CERT

　　报告作者：360CERT

　　更新日期：2020-11-16

　　0x01 漏洞简述

　　2020年11月16日，360CERT监测发现 XStream 发布了 XStream 安全更新 的风险通告，该漏洞编号为 CVE-2020-26217 ，漏洞等级：严重 ，漏洞评分：9.8 。

　　XStream 发布安全更新修复了一处反序列化漏洞，旧版XStream中存在一处黑名单绕过，利用该绕过可触发恶意的反序列化流程，导致远程代码执行。

　　未授权的远程攻击者通过向使用 XStream 的web应用发送特制请求，可导致远程代码执行，并获得该服务器控制权限。

　　对此，360CERT建议广大用户及时将 XStream 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

　　0x02 风险等级

　　360CERT对该漏洞的评定结果如下

　　0x03 漏洞详情

　　CVE-2020-26217: 序列化漏洞

　　XStream 的反序列化流程中存在一处黑名单绕过，允许 恶意反序列化链 执行，最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体，其原因是javax.imageio.ImageIO$ContainsFilter 该类对象 在与其他实现命令执行、代码执行的 类对象 一起使用的时候会造成代码执行。

　　0x04 影响版本

　　- xstream:xstream : <=1.4.13

　　0x05 修复建议

　　通用修补建议

　　参考官方通告升级到 1.4.14 ：

　　新版XStream下载地址

　　https://github.com/x-stream/xstream/releases

　　0x06 产品侧解决方案

　　0x07 时间线

　　2020-11-16 XStream发布更新通告

　　2020-11-16 360CERT发布通告

　　0x08 参考链接

　　1、 XStream 官方通告

　　http://x-stream.github.io/CVE-2020-26217.html